Góc nhìn từ một kỹ sư mật mã: Tại sao thời điểm của máy tính lượng tử lại đáng sợ hơn chúng ta nghĩ?

Góc nhìn từ một kỹ sư mật mã: Tại sao thời điểm của máy tính lượng tử lại đáng sợ hơn chúng ta nghĩ?

Vài tháng trước, quan điểm của tôi về tính cấp thiết của việc triển khai mật mã chống lượng tử (post-quantum cryptography) còn khá khác biệt. Nhưng trong tuần vừa qua, mọi thứ đã thay đổi một cách ngoạn mục, và tôi cần công khai thừa nhận sự thay đổi trong tư duy này.

Chúng ta đã nghe đồn về sự tiến bộ trong việc xây dựng máy tính lượng tử có khả năng phá vỡ mật mã, nhưng giờ đây chúng ta đã có bằng chứng cụ thể. Hai công trình nghiên cứu được công bố gần đây từ Google và Oratomic đã vẽ ra một bức tranh đáng báo động hơn nhiều so với những gì cộng đồng kỹ thuật từng dự đoán.

Biểu đồ minh họa sự tiến bộ của máy tính lượng tử

Mối đe dọa đang đến gần hơn bạn nghĩ

Đầu tiên, Google đã công bố một bài báo sửa đổi giảm mạnh số lượng qubit logic và cổng logic cần thiết để phá vỡ các đường cong elliptic 256-bit như NIST P-256 và secp256k1. Điều này khiến cuộc tấn công trở nên khả thi trong vài phút trên các kiến trúc xung nhịp nhanh như qubit siêu dẫn. Tác động quan trọng hơn nhiều không phải là tiền điện tử, mà là các cuộc tấn công Man-in-the-Middle (MitM) thực tế đối với WebPKI - nền tảng bảo mật của internet.

Ngay sau đó, một bài báo khác từ Oratomic cho thấy các đường cong elliptic 256-bit có thể bị phá vỡ chỉ với 10.000 qubit vật lý nếu có khả năng kết nối phi cục bộ (như nguyên tử trung hòa cung cấp). Mặc dù cuộc tấn công này chậm hơn, nhưng việc chỉ cần một khóa bị phá vỡ mỗi tháng cũng là thảm họa.

Tổng thể, phần cứng đang tốt hơn, thuật toán rẻ hơn, và yêu cầu về hiệu chỉnh lỗi đang thấp hơn.

Mốc hạn chót năm 2029

Heather Adkins và Sophie Schmieg đã cảnh báo rằng "biên giới lượng tử có thể gần hơn mức chúng ta nhìn thấy", và đặt ra hạn chót là năm 2029. Đó là chỉ còn 33 tháng từ bây giờ. Scott Aaronson cũng đưa ra cảnh báo rõ ràng nhất về sự cấp bách của việc di chuyển sang hệ thống mật mã hậu lượng tử, so sánh nó với cách nghiên cứu phân hạch hạt nhân biến mất khỏi công chúng vào giai đoạn 1939-1940.

Trước đây, người ta thường đùa rằng máy tính lượng tử luôn "còn 10 năm nữa" trong suốt 30 năm qua. Đùa thôi, nhưng giờ thì không còn đúng nữa; các mốc thời gian đã bắt đầu tiến lại gần.

Nếu bạn nghĩ "chuyện này có thể tồi tệ, hoặc có thể chẳng có gì cả!", hãy nhận thức rõ rủi ro. Cá cược không phải là "bạn có 100% chắc chắn CRQC sẽ tồn tại vào năm 2030 không?", mà là "bạn có 100% chắc chắn CRQC sẽ KHÔNG tồn tại vào năm 2030 không?". Tôi không thấy cách nào mà một người không chuyên có thể nhìn vào những gì các chuyên gia đang nói và quyết định "tôi biết rõ hơn, xác suất dưới 1%". Hãy nhớ rằng bạn đang đánh cược với sự an toàn của người dùng.

Hình ảnh minh họa

Chúng ta cần làm gì ngay bây giờ?

Rõ ràng, chúng ta cần bắt tay vào triển khai ngay. Thật không may, chúng ta phải tung ra những gì mình đang có. Điều đó có nghĩa là các chữ ký số ML-DSA cồng kềnh sẽ phải được nhét vào những nơi vốn thiết kế cho chữ ký ECDSA nhỏ gọn, như X.509.

Đối với trao đổi khóa, việc chuyển đổi sang ML-KEM đang diễn ra khá tốt, nhưng:

• Mọi trao đổi khóa không chống lượng tử giờ đây nên được coi là một sự xâm nhập tiềm năng, đáng lẽ phải cảnh báo người dùng như OpenSSH đang làm.
• Chúng ta cần quên đi các trao đổi khóa không tương tác (NIKEs) trong một thời gian; trong bộ công cụ chống lượng tử, chúng ta chỉ có KEM.

Không còn lý do gì để triển khai các sơ đồ mới không phải là hậu lượng tử nữa. Tôi biết, các sơ đồ pairing rất hay. Tôi biết mọi thứ liên quan đến lượng tử đều phiền phức vì kích thước lớn. Nhưng đó là thực tế.

Xác thực kết hợp cổ điển + hậu lượng tử (hybrid) không còn hợp lý với tôi nữa và sẽ chỉ làm chậm chúng ta lại; chúng ta nên đi thẳng sang ML-DSA thuần túy. Chữ ký hybrid tốn chi phí về thời gian và độ phức tạp, và lợi ích duy nhất là bảo vệ nếu ML-DSA bị phá vỡ theo cách cổ điển trước khi CRQC xuất hiện, dường như là một sự đánh đổi sai lầm tại thời điểm này.

Mã hóa đối xứng và TEE

May mắn thay, trong mã hóa đối xứng, chúng ta không cần làm gì cả. Có một hiểu lầm phổ biến rằng việc bảo vệ khỏi thuật toán Grover yêu cầu khóa 256-bit, nhưng điều đó dựa trên sự hiểu biết quá đơn giản hóa về thuật toán. Các yêu cầu khóa 256-bit không cần thiết là có hại khi được gói gọn với các yêu cầu hậu lượng tử thực sự cấp bách, vì chúng làm mờ mục tiêu tương tác và nguy cơ làm chậm việc triển khai mật mã bất đối xứng hậu lượng tử.

Các Môi trường thực thi đáng tin cậy (TEE) như Intel SGX và AMD SEV-SNP nói chung và chứng thực phần cứng đang gặp rắc rối lớn. Tất cả các khóa và gốc của chúng không phải là hậu lượng tử và tôi chưa nghe thấy tiến độ nào trong việc triển khai các phiên bản hậu lượng tử.

Các hệ sinh thái có danh tính mật mã (như atproto và tiền điện tử) cần bắt đầu di chuyển rất sớm, vì nếu CRQC đến trước khi họ hoàn thành, họ sẽ phải đưa ra những quyết định cực kỳ khó khăn.

Kết luận

Tóm lại, có thể sau 10 năm các dự đoán sẽ sai, nhưng tại thời điểm này, chúng có thể đúng sớm, và rủi ro đó hiện là không thể chấp nhận được.

Tuần này, tôi bắt đầu giảng dạy một khóa học tiến sĩ về mật mã tại Đại học Bologna, và tôi sẽ chỉ đề cập đến RSA, ECDSA và ECDH như là các thuật toán kế thừa, bởi vì đó là cách những sinh viên này sẽ gặp chúng trong sự nghiệp của mình. Tôi biết, cảm thấy kỳ lạ. Nhưng đó là thực tế.